Dans un courrier adressé aux sénateurs américains, Ring explique avoir découvert des abus de certains salariés, licenciés depuis. Ils avaient cherché à accéder à des vidéos sans autorisation.

En matière d’atteinte à l’intimité, toutes les menaces ne viennent pas de l’extérieur. C’est parfois de l’intérieur que vient le problème. C’est justement ce qui a été constaté avec la  société Ring. Selon des informations transmises au Sénat des États-Unis, et dont se font l’écho des médias américains, dont CNET, des employés de Ring ont cherché à accéder à certains flux vidéo de clients issus des sonnettes connectées.

Dans la missive, il est expliqué « qu’au cours des quatre dernières années, Ring a reçu quatre plaintes ou demandes de renseignements concernant l’accès d’un membre de l’équipe aux données vidéo de Ring ». Il est précisé que les fautifs ont été licenciés, mais il n’est pas clair si ces tentatives d’accès ont été fructueuses ou non et si des données ont été prises ou non.

sonnette Ring doorbell
Une sonnette connectée Ring, équipée d’une caméra. // Source : Ring

Selon Ring, des employés peuvent obtenir des homologations pour visionner des données de vidéo, a priori dans un cadre et des circonstances spécifiques. Cependant, dans ces cas de figure là, «  la tentative d’accès à ces données a dépassé ce qui était nécessaire pour leurs fonctions ». Concernant les flux en direct, Ring explique que le seul cas pour un accès survient quand un client demande de l’aide pour un problème.

Depuis, Ring affirme avoir durci les conditions d’accès à ces flux pour ne concerner qu’un  nombre plus limité encore de salariés. « Ring examine périodiquement les privilèges d’accès qu’elle accorde aux membres de son équipe pour vérifier qu’ils ont toujours besoin d’accéder aux informations des clients dans le but de maintenir et d’améliorer l’expérience client », ajoute l’entreprise.

Ring assure être au top de la sécurité…

Ring traverse une importante zone de turbulence en ce moment. Au cours des dernières semaines, plusieurs affaires ont révélé des défaillances ou des insuffisances dans la façon dont le spécialiste des objets connectés, devenu désormais une filiale d’Amazon, sécurise les produits qu’il vend au public. D’autant que ces incidents ne collent pas du tout avec les affirmations de son PDG, Jamie Siminoff.

Jamie Siminoff
Jamie Siminoff, PDG de Ring, en 2015. // Source : Christopher Michel

Le 6 janvier, il affirmait à Business Insider que son groupe est au « top niveau » en ce qui concerne la sécurité informatique. À ses yeux, les cas d’intrusion qui ont été rapportés dans la presse sont provoqués par l’irresponsabilité de certains clients. Ce n’est pas Ring qui est en tort : ce sont les particuliers qui n’appliquent pas les bonnes pratiques pour protéger correctement leur intimité numérique.

L’intéressé fait notamment référence à ce fait divers, survenu en décembre aux États-Unis. Des parents ayant équipé la chambre de leur fille d’une caméra Ring avaient découvert avec effroi qu’un tiers avait réussi à entrer sur le réseau de l’objet connecté et à parler à  l’enfant via le haut-parleur de l’appareil. S’en était suivi un débat sur les responsabilités des uns et des autres.

…mais les faits montrent le contraire

Dans les faits, l’excellence en matière de sécurité qu’aurait atteinte Ring est avant tout une vue de l’esprit. Deux exemples relativement illustrent le décalage qui existe entre les faits et les affirmations du patron du groupe.

Amazon Ring Caméra
Une caméra connectée Ring.

En novembre, une recherche conduite par la société roumaine Bitdefender, spécialisée dans la sécurité informatique, montrait que le mot de passe du réseau Wi-Fi circulait en clair, sans aucun chiffrement. Un tiers malveillant aurait pu intercepter le mot de passe en écoutant les échanges lors de la configuration de la sonnette connectée. Cette étonnante brèche, découverte en juin, a toutefois été colmatée en septembre.

En décembre, avec le fait divers mentionné précédemment, c’est l’absence d’obligation sur la double authentification qui avait été pointée du doigt. Ce dispositif permet pourtant de garder un accès protégé même dans le cas où le mot de passe est dérobé. Depuis, Ring a annoncé que pour ses futurs clients, la double authentification serait requise. En revanche, le statu quo est maintenu pour les clients actuels.

Partager sur les réseaux sociaux

La suite en vidéo